Ist heute ein sicherer Gruppenchat verfügbar?

Ich würde gerne wissen, ob es eine Gruppenchat-Lösung gibt, die heute mit angemessener Zuversicht verwendet werden kann, dass der Inhalt der Gespräche privat bleibt. Bisher sind mir folgende Lösungen bekannt:

  • IRC mit SSL, plus FiSH : Das würde ich lieber vermeiden, nicht nur, weil es die Einrichtung eines IRC-Servers beinhaltet, sondern auch, weil es Blowfish verwendet, was selbst von seinem Schöpfer nicht mehr empfohlen wird.

  • Privater XMPP-Server, mit SSL: Es ist relativ einfach, einen XMPP-Server einzurichten, der es einem ermöglicht, die Kontrolle über seine Daten zu behalten. Der Nachteil ist, dass die Nachrichten selbst nicht verschlüsselt sind: Ich habe einige Diskussionen und einige Artikel über ein mpOTR-Protokoll gesehen, aber keine Implementierung. ( das ist, was ich derzeit benutze )

  • Tox : Soweit ich weiß, sollte das Risiko, dass Informationen durchsickern, als Peer-to-Peer-Protokoll minimal sein, außerdem verwendet es moderne kryptografische Primitive (curve25519, xsalsa20 und poly1305 aus der NaCl-Kryptobibliothek). Andererseits steckt es noch in den Kinderschuhen, und ich frage mich, ob es irgendwelche Audits oder Studien über die tatsächliche Sicherheit gibt, die es bietet. Kann Tox als einigermaßen sicher angesehen werden oder ist es noch zu früh, um das zu sagen?

Habe ich zum Schluss noch eine andere interessante Lösung verpasst?

Update: In den folgenden Antworten wurden mehrere andere Lösungen vorgeschlagen, von denen einige vielversprechend aussehen. Auf der anderen Seite liegen zwei davon tatsächlich außerhalb des Rahmens dieser Frage, und ich möchte darauf hinweisen, warum, weil sie die am häufigsten referenzierten sind, die ich im Internet gefunden habe, einschließlich dieser Website.

  • Jedes Protokoll (normalerweise XMPP) plus OTR: Für Gespräche unter vier Augen ist OTR großartig und der De-facto-Standard. Andererseits werden keine Gruppenchats unterstützt, die im Mittelpunkt dieser Frage stehen. Die einzige Multi-Party-OTR-Implementierung, die mir bekannt ist, ist die von Cryptocat, aber ... siehe unten. (dies gilt für Jitsi, ChatSecure und viele andere Clients )

  • Cryptocat: Es war eine großartige Lösung, aber das Projekt ist seit Februar 2014 inaktiv (und nicht verfügbar). Sein Schöpfer erwähnte eine große Neufassung und ein Upgrade in Arbeit, aber es ist unklar, wann oder ob dies verfügbar sein wird. Siehe Hinweis auf der Homepage des Projekts .

Ist Desktop-Kompatibilität eine harte Anforderung? Weil Signal einen wirklich guten Job macht...
"Privater XMPP-Server, mit" TLS . ​ ​
@ RickyDemer Das ist ein guter Punkt, danke, dass du mich daran erinnert hast.
@SEJPM Ja, Desktop-Kompatibilität ist für mich sehr wünschenswert.
Für welche(s) Betriebssystem(e)?
Linux und Windows, vorzugsweise basierend auf einem offenen Protokoll.

Antworten (1)

Was die Sicherheitsseite der Dinge betrifft, kann ich Sie dazu nicht offen beraten. Hier ist eine kurze Liste der Programme, die Sie verwenden können.

Ich werde nicht ins Detail gehen auf Protokolle etc.; Ich überlasse dies alles Ihnen zur Recherche / Überprüfung.

Wickr

Einige Informationen stammen von ihrer Homepage:

  1. Wickr-Benutzername, Anwendungs-ID und Geräte-ID werden mit mehreren Runden von Salted SHA256 kryptografisch gehasht;
  2. Ruhende und übertragene Daten werden mit AES256 verschlüsselt;
  3. Als Teil von Perfect Forward Secrecy hat jede Nachricht einen neuen Verschlüsselungsschlüssel, der gelöscht wird, sobald die Nachricht entschlüsselt ist;
  4. Nachrichtenverschlüsselungsschlüssel werden mit einem unter Verwendung von ECDHE erzeugten Schlüssel verschlüsselt;
  5. Nachrichten sind sowohl an die Anwendung als auch an das Gerät des Empfängers gebunden;
  6. Kein Passwort oder Passwort-Hashes verlässt jemals das Benutzergerät;
  7. Alle Benutzerinhalte werden nach Ablauf forensisch vom Gerät gelöscht;
  8. Ihre UDID (Unique Device Identifier) ​​wird niemals auf unsere Server hochgeladen, sodass Sie für uns immer anonym sind;
  9. Wickr's Secure Shredder löscht forensisch alle gelöschten Daten auf Ihrem Gerät, damit sie nicht wiederhergestellt werden können;
  10. Alle Benutzerkommunikationen werden von jeglichen Metadaten gelöscht.

Plattform unterstützt

  • Windows
  • Android
  • Listenpunkt
  • OSX
  • iOS
  • Linux

CryptoCat

  • OTR-Schlüsselpaar
  • XMPP (Extensible Messaging and Presence Protocol) Benutzername und Passwort (beide sind zufällige alphanumerische 256 Bytes lang). Diese werden verwendet, um einen neuen Benutzer auf dem XMPP-Server mit XEP-0077 zu registrieren
  • Chatrooms sind XMPP MUC (Multi User Conference)-Instanzen (XEP-0045).

Unterstützte Plattformen

  • Windows
  • iOS
  • Android

Jitsi

Das Folgende sind Merkmale des Programms:

  • 100 % Open-Source
  • Standardmäßig verschlüsselt
  • HD-Audio mit Opus – Audio, Video, Desktop-Streaming, Anrufaufzeichnung, Anrufverschlüsselung (SDES/SRTP und ZRTP), OTR-Verschlüsselung
  • Kein Konto erforderlich
  • Präsentationen und Desktop-Sharing
  • Integrierter Chat – SIP, Google, XMPP (Jabber), Facebook (XMPP), .NET Messenger Service (MSN), Yahoo. AIM und ICQ

Unterstützte Plattformen

  • Windows
  • iOS
  • Linux

RetroShare

Überprüfen Sie die Dokumentation hier .

Siehe hier zu den IP/DHCP-Fragen. Ein alarmierender Teil des Dokuments ist der Sicherheitsabschnitt „ TODO “ .

Unterstützte Plattformen

  • Windows
  • iOS
  • Linux

Telegramm

Merkmale:

  • MTProto
  • Ende-zu-Ende-Verschlüsselung mit Perfect Forward Secrecy
  • End-to-End-TL

Unterstützte Plattformen

  • Windows
  • Android
  • Listenpunkt
  • OSX
  • iOS
  • Linux

Ich hoffe, dies bietet Ihnen eine anständige Liste von Apps, mit denen Sie loslaufen und spielen können. Persönlich habe ich Wickr verwendet und finde, dass es nur Misstrauen schreit (Sie können alle Berichte googeln), aber sie scheinen in Ordnung zu sein - vertrauen Sie Closed-Source-Apps für solche Dinge einfach nicht.

Anywhoo weisen Sie bitte in den Kommentaren auf Probleme hin.

Vielen Dank für Ihre Antwort. Ich sollte darauf hinweisen, dass Jitsi außerhalb des Geltungsbereichs dieser Frage liegt und dass Cryptocat auf unbestimmte Zeit nicht verfügbar ist (siehe meine Bearbeitung). Die anderen Lösungen scheinen jedoch interessant zu sein. Die "sicheren Chats" von Telegram sind fast das, wonach ich suche, wenn es nicht so wäre, um mit jemandem zu chatten, müsste man seine Telefonnummer teilen. Ebenso ist Wickr nahezu perfekt: Ich mache mir Sorgen, dass sie ein geschlossenes Protokoll und Closed-Source-Software verwenden, aber die Sicherheitsprüfungen sind etwas beruhigend.
Sie scheinen auch einige Metadaten auf unbestimmte Zeit zu speichern, aber genau zu bestimmen, was sie sammeln, ist ein bisschen schwierig, weil ihre Datenschutzrichtlinie in dieser Hinsicht etwas widersprüchlich ist. Schließlich stand ich noch nicht zur Verfügung, um RetroShare zufriedenstellend zu beurteilen.
Ich hatte auf tatsächliche Sicherheitshinweise gehofft, weshalb diese Frage ursprünglich auf Security.SE gestellt wurde. Vielleicht akzeptiere ich diese Antwort, aber ich werde ein paar Tage warten, falls jemand Sicherheitsratschläge in dieser Angelegenheit hat.
@AP, in der Sicherheitsgemeinschaft hat Telegram ein ziemlich schlechtes Image, weil sie ein Haufen Mathematiker sind, die ihr eigenes Krypto (Protokoll) gerollt haben und nicht den etablierten (und gut vertrauenswürdigen) Standard (OTR) verwendet haben. Siehe auch die kanonische Telegram-Frage auf Sec.SE
@SEJPM Ja, sowohl Wickr als auch Telegram haben ein fragwürdiges Protokoll implementiert.
Ist heute ein sicherer Gruppenchat verfügbar?
AntwortenHierDatenschutz-Bestimmungen1y, 1v